2016 Q3 DDoS 态势报告 绿盟科技 DDoS 攻防研究实验室 NTI 绿盟威胁情报中心 多年来, 绿盟科技每天都在追踪全球 DDoS 攻击的风云变幻, 正如这浩瀚 的宇宙,在无尽网络空间的深处,到底发生了什么? Q3 DDoS 态势报告正 从空间站发往地球…… b u 0 15 h t i g m o c . 5 更多链接… 台 s Gbp 72.6 万 5 31d19h © 2016 NSFOCUS 2016 Q3 DDoS 态势报告 目录 01 关键性发现 1 02 全球攻击态势 2 03 攻击趋势 4 04 攻击持续时间和重复频次 6 05 攻击类型分布 c . 5 DDoS 攻击峰值 DDoS 攻击次数 攻击流量各区间分布情况 4 5 5 DDoS 攻击持续时间 DDoS 重复攻击频次 各攻击类型次数和流量占比 攻击类型各流量区间占比 06 混合攻击分析 07 反射攻击分析 各类反射攻击占比 活跃 NTP 反射器全球分布 6 6 b u h t i g 7 7 7 8 9 9 9 08 DDOS 攻击趋势:基于物联网设备的僵尸网络 10 09 结束语 13 IoT 僵尸网络工作原理 Mirai 僵尸网络主控端分布情况 Mirai 僵尸网络 Bot 端分布 Mirai 全球扫描活动 10 10 11 12 m o 01 关键性发现 2016 Q3 DDoS 态势报告 绿盟科技多年来持续追踪 DDoS 攻击态势,从监测的数据中,我们可以觉察一些规律。 在全球范围内看,近年来 DDoS 攻击多是 30 分钟以下的短时攻击,2016 年 3 季度短时攻击所占比重继续增长,达 56.6%; 攻击 者仍旧很喜欢用混合式攻击,这类攻击占总攻击流量的 40.3%,以 NTP 反射和 UDP 混合最为常见 ; 而反射类攻击相比传统的 botnet 攻击其攻击成本极低,且流量放大效果明显,我们监测到本季度有 90.5% 的攻击都采用了这种攻击形式。 但也有一些不寻常的情况出现…… 40% 35 次 全球总 DDoS 攻击次数增加 40% 300G+ 超大流量 DDoS 攻击发生 35 次 Q3 季度共检测到 71,416 次 DDoS 攻击, 比上个季度的 50,988 次增加 40%。 Q3 季度 300Gbps 以上的超大流量攻击共发生 35 次, 相比 Q2 的 16 次增加 119% 19.4G m o c . 5 572.6G 单次 DDoS 攻击平均峰值为 19.4G 单次 DDoS 攻击最高峰值达 572.6G Q3 季度平均攻击峰值为 19.4Gbps,比 Q2 的 16.7Gbps 有所上升。 Q3 季度单次攻击峰值最高达 572.6Gbps,相比 Q2 季度的 445.7Gbps 峰值有所上升,但仍然低于 Q1 季度的 615.1Gbps。 23 个 b u h t i g 440% 已独立发现 Mirai 僵尸网络主控端 23 个 NTP Reflection 反射器数量增加 440% 其中最近更新的一个主控端是在 2016 年 10 月 13 日。最后一 次查询结果显示,主控端主要分布在欧洲(荷兰、法国、波兰、 乌克兰)、美国和日本。 Q3 季度全球范围内参与 DDoS 攻击的活跃反射器数量达 25,371 台,相比 Q2 数量增长了 440%。 150 万台 全球仅感染 Mirai 的物联网设备已经超过 150 万台 物联网设备成为黑客僵尸网络的新宠,截止到 10 月底仅感染 Mirai 的设备就已经达到 1,508,059 台,其僵尸网络在近期活 动异常活跃,针对 23 端口的日扫描次数最高达 34 万次。 01 02 全球攻击态势 2016 Q3 DDoS 态势报告 25.00G 0.00G m o 全球 71,416 次 DDoS 攻击 c . 5 本季度,全球范围内我们监控到 71,416 次 DDoS 攻击,受攻击最严重的 国家是中国,占全部被攻击国家的 39%,其次是美国,占比 23.6%。 2016Q3 季度全球范围内 DDoS 攻击态势图 b u ti h g 中国 DDoS 被攻击次数占全球 39% 本季度中国共发生 27,852 次 DDoS 攻击,相比 Q1 和 Q2 季度,中国被攻击次数在全球各国家中所占比例有所下降, 分别下降了 19.9%,14.2%。其中受攻击最严重的地区是浙 江、广西、广东、北京、江苏等地区。 其他 荷兰 巴西 波兰 澳大利亚 加拿大 CHN 27,852 德国 英国 法国 美国 2016 Q3 季度中国范围内 DDoS 攻击态势图(局部) 23.6% 2016 Q3 季度全球被攻击国家 TOP10 按次数占比图 02 02 全球攻击态势 2016 Q3 DDoS 态势报告 2016 Q1-Q3 季度全球被攻击国家 TOP5 按次数占比图 0 10000 20000 30000 中国 60000 23.6% 法国 3.5% 德国 2.5% 中国 53.2% 美国 22.7% 法国 Q2 3.2% 1.2% c . 5 58.9% 美国 20.6% 法国 8.1% 日本 5.0% Q3 Q1 b u 5.1% 德国 Q2 m o 1.9% 中国 Q1 70000 Q3 4.1% 英国 德国 50000 39.0% 美国 英国 40000 h t i g 美国 中国 英国 德国 法国 03 日本 03 攻击趋势 2016 Q3 DDoS 态势报告 DDoS 攻击峰值 Q3 季度单次 DDoS 平均攻击峰值为 19.4Gbps,相比 Q2 的 16.7Gbps 上升 16.2%,比 Q1 的 28.2Gbps 减少 31.2%。 Q3 季度 DDoS 攻击累计流量的最高峰值为 3.7Tbps,比 Q2 季度的 1.8Tbps 增加 1.9Tbps,比 Q1 季度的 1.2Tbps 增长了 2.5Tbps。 2016 Q1-Q3 季度全球 DDoS 攻击累计总流量趋势图 3.7Tbps 2016-08-24 08:00:00 3T 2T 1T m o 0 Jan 16 Mar 16 May 16 c . 5 Jul 16 Sep 16 本季度单次 DDoS 攻击最高峰值为 572.6Gbps,相比 Q2 季度的 445.7Gbps 峰值有所上升,但仍然低于 Q1 季度的 615.1Gbps。 615.1Gbps Q1 600 500 400 b u 2016 Q1-Q3 季度单次 DDoS 攻击事件周峰值趋势图 Q2 h t i g Q3 572.6Gbps 445.7Gbps 300 200 100 我们对本季度攻击峰值较高的几个攻击事件进行溯源分析,发现除了几个是 NTP 和 SSDP 反射攻击外,其余的非反射攻击大都有网络摄像 头、家庭路由器这些物联网设备的参与,且大部分流量的攻击特征符合 Mirai 的僵尸网络攻击特点。这也恰恰印证了我们在 10 月 14 日发布 《2016 绿盟科技网络视频监控系统安全报告》中的观点,目前已经有大量物联网设备感染了如 Mirai、Luabot 等恶意僵尸网络程序,被用 于扫描、DDoS 攻击等黑客活动。由于物联网设备普遍存在着各种安全问题,相比传统的 PC 机,黑客开始青睐于使用直接或者间接暴露于 互联网上的物联网设备作为僵尸网络的被控肉鸡。可以预见,随着物联网技术的发展及各行业对其需求的不断扩大,成千上万的物联网设备 正在以惊人的速度接入互联网,这一趋势将会更加明显。 04 03 攻击趋势 2016 Q3 DDoS 态势报告 DDoS 攻击次数 Q1 2016 Q1-Q3 季度各月份 DDoS 攻击次数图 35,000 35,589 30,755 30,000 25,795 25,000 20,000 Q3 Q3 季度,我们监控到 DDoS 攻击 71,416 次,相比 Q2 季度的 50,988 次增加 40%,但仍然低于 Q1 季度的 108,045 次。 41,701 40,000 Q2 18,451 15,000 7 月份共发生 DDoS 攻击 25,795 次,比上个月增长了 43.7%。 到 8 月份攻击有所下降,相比 7 月份减少 22.4%, 9 月份发生攻击 23,020 次,与 8 月份持平。 23,020 22,601 17,947 14,590 10,000 5,000 0 Jan. Feb. Mar. Apr. May. Jun. Jul. Aug. m o Sep. c . 5 攻击流量各区间分布情况 Q1 2016 Q1-Q3 季度攻击流量区间占比图 b u 49.9% 32.0% 28.9% 24.2% 27.0% 28.3% 20% 15.6% 11.5% 9.9% 7.2% 10% 0% h t i g 攻击峰值在 20-50G 的中型攻击占比 11.5%。峰值在 50-300Gbps 间 的大流量攻击占比 3.5%,相比前两个季度的均明显下降。 40% 30% 2.8% 0.2% 0.1% 2.6% 2.7% 0.0% 0.8% 0.1% 0.1% 0.1% 5-10G 10-20G 20-50G 50-100G 100-200G 200-300G 300G+ 2016 Q1-Q3 季度大流量(峰值 >50Gbps)攻击次数图 100% 90% Q1 Q3 Q3 季度攻击峰值在 20Gbps 以下的小流量攻击相比 Q1、Q2 季度所 占比例继续增加,其占比达整个 Q3 季度总攻击次数的 85%。 56.0% 50% Q2 Q2 80% Q3 1,883 3,663 70% 557 35 1,466 60% 大流量 DDoS 攻击趋势 Q3 季度峰值在 300Gbps 以上的超大型 DDoS 攻击共发生 35 次,相比前两个季度均有所增加。 80 109 50% 16 40% 30% 10,702 峰值在 50Gbps 以上的大流量攻击共发生 2,555 次,相比 Q1 的 13,762 次,Q2 的 5,254 次,分别下降 81% 和 51%。 2,890 147

pdf文档 绿盟 2016 Q3绿盟科技DDoS态势报告

文档预览
中文文档 16 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共16页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
绿盟 2016 Q3绿盟科技DDoS态势报告 第 1 页 绿盟 2016 Q3绿盟科技DDoS态势报告 第 2 页 绿盟 2016 Q3绿盟科技DDoS态势报告 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-07-17 01:16:49上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。